Risiko Mitarbeiter
05.10.2020, 16:14 Uhr
Der Feind in den eigenen Reihen
Viele Unternehmen unterschätzen die Gefahren, die von den eigenen Mitarbeitern ausgehen. Dabei sind gerade die Angestellten meist das grösste Sicherheitsrisiko überhaupt.
Sicherheit ist im Bewusstsein der allermeisten Unternehmen inzwischen tief verankert: Firewalls, Endpoint-Security, Detection & Response, Access Control und viele weitere Techniken gehören wie selbstverständlich zum Abwehr-Arsenal gegen Cybercrime. Doch nicht wenige Firmen haben einen blinden Fleck - die eigenen Mitarbeiter.
Auch die beste Security-Technik schützt nicht vor der Schwachstelle Mensch. Nicht selten sind die Mitarbeiter ein Einfallstor für Angriffe und Malware. Dabei sind sie in der Regel nicht böswillig, es geschieht eher durch Gutgläubigkeit und Unachtsamkeit. Aktuelle Studien besagen, dass mehr als 80 Prozent der erfolgreichen Cyberangriffe auf menschliches Fehlverhalten zurückzuführen sind. Die Angriffsvektoren sind breit gefächert und reichen von Social Engineering und Phishing über Malware, E-Mails und Drive-by-Downloads bis hin zu zielgerichteten Attacken mit Hilfe von Deepfakes. Wenn es einem Angreifer gelingt, auch nur einen einzigen Mitarbeiter aufs Kreuz zu legen, dann ist die Sicherheit des gesamten Unternehmens gefährdet.
Das muss aber keineswegs passieren: Mit den passenden Trainings und Schulungen wandeln sich die Mitarbeiter im besten Fall vom Sicherheitsrisiko zu einem unschätzbaren Sicherheitsfaktor.
Eine Studie der Personalberatung Rochus Mummert kommt zu dem Ergebnis, dass 60 Prozent der IT-Entscheider mögliches Fehlverhalten der Mitarbeiter als hohes bis sehr hohes Risiko einschätzen. Zum Vergleich: Mängel in der IT-Infrastruktur oder beim Umgang mit Passwörtern halten nur 19 beziehungsweise 34 Prozent der Entscheider für ein hohes oder sehr hohes Sicherheitsrisiko.
Einfallstor Mitarbeiter
Die interne Bedrohung stellt für Unternehmen aller Grössenordnungen eine fortwährende Herausforderung dar. Denn der Mitarbeiter von heute setzt viele verschiedene Geräte ein, noch dazu häufig an unterschiedlichen Standorten. Die Aufgabe für die Unternehmen lautet, das ideale Gleichgewicht zu finden zwischen dem notwendigen Mitarbeiterzugriff und der gewünschten Datensicherheit. Dabei gilt der Grundsatz: Je besser die Mitarbeiter darüber Bescheid wissen, wie sie zum Schutz ihres Unternehmens beitragen können, desto sicherer und aufmerksamer verhalten sie sich.
Eine zentrale Aufgabe für die IT-Abteilung besteht darin, die Kontrolle darüber zu behalten, wer auf bestimmte Programme, Geräte und vertrauliche Informationen innerhalb des Unternehmens zugreifen kann. Dazu muss sie die verschiedenen Aufgabenbereiche kennen und den Zugriff jeweils auf bestimmte Mitarbeiter beschränken. Einen Sonderfall stellen dabei die nicht immer wohlgesinnten ehemaligen Mitarbeiter dar, die oft noch über weitreichende Zugriffsrechte verfügen. Hier sollte eine automatisierte Access Control für geordnete Verhältnisse sorgen.
Laut Christopher Schmid, SVP und Head of IT Security DACH beim IT-Dienstleister NTT Data, haben die meisten Unternehmen mittlerweile ihre Unternehmensnetzwerke und Systeme auf- und nachgerüstet, sodass es Hackern immer schwerer fällt, unbemerkt in die Firmennetze einzudringen. «Deshalb versuchen sie es über die Mitarbeiter, die aus Sicht der IT-Security in der Tat das grösste Risiko darstellen. Hacker wissen um die Schwächen der Mitarbeiter, die häufig Gefahren nicht erkennen, zum Beispiel die zum Teil wirklich gut gemachten Phishing-E-Mails, mit diesen falsch umgehen oder verdächtige Aktionen nicht melden.»
“Wenn unsere Büronetzwerke auf Zero-Trust-Sicherheit basieren, dann sind unsere Netzwerke im Homeoffice genau das Gegenteil.„
Bogdan Botezatu, Threat Research and Reporting bei Bitdefender
Auch für Bogdan Botezatu, Director of Threat Research and Reporting beim Security-Spezialisten Bitdefender, sind die Mitarbeiter oft das schwächste Glied in der Sicherheitskette eines Unternehmens. «Meistens handeln sie in gutem Glauben, aber es fehlen ihnen schlicht die Cybersicherheitskenntnisse. Hin und wieder sind es aber auch verärgerte Mitarbeiter, die wissentlich Vorgaben umgehen. Eine Studie, die wir 2019 durchgeführt haben, zeigt, dass die Mitarbeiter bei den Sicherheitsbedenken von CISOs an erster Stelle stehen.» Ein mangelndes Verständnis der Mitarbeiter für die Cybersicherheit bei den täglichen Routinen ist demnach der grösste Stressfaktor für die IT-Fachbereiche (36 Prozent), gefolgt von Unterbesetzung der Teams (33 Prozent) und mangelndem Sicherheitsverständnis auf der Führungsebene (30 Prozent).
Jochen Koehler, Sales Director Security Solutions bei HP, sieht es so: «Viele Sicherheitsvorfälle wären zu vermeiden, wenn die Mitarbeiter adäquat für IT-Gefahren sensibilisiert wären. Diese Aussage ist zwar richtig, greift aber zu kurz. Viel wichtiger wäre die Implementierung eines Schutzschildes, der Unachtsamkeiten von Mitarbeitern folgenlos macht.» Er betont aber auch: «Natürlich muss bei der Sicherheit der Faktor Mensch Berücksichtigung finden. Mitarbeiter sind die letzte Verteidigungslinie in Sachen Sicherheit und damit auch ein bevorzugtes Angriffsziel. Gerade das Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, stellt eine grosse Gefahr für jedes Sicherheitssystem dar.»